Es posible que parte de la información de esta página (o toda) no se aplique a Cloud de Confiance de S3NS. Consulta
Diferencias con Google Cloud para obtener más información.
Google uses AI technology to translate content into your preferred language. AI translations can contain errors.
Grupos de usuarios y roles de Identity and Access Management recomendados
En la siguiente tabla, se describen los roles de Identity and Access Management (IAM) que
recomendamos como punto de partida para ejecutar cargas de trabajo en
Cloud de Confiance by S3NS. Configura tus roles de IAM para implementar la separación de tareas en tu entorno y para que se alineen con tu apetito por el riesgo y tu estructura organizacional.
A medida que asignes estos roles a los grupos de usuarios de tu organización, considera dónde necesitas aplicar roles más detallados para abordar casos de uso específicos y requisitos de acceso a los datos. En los entornos en los que se usan datos altamente sensibles (por ejemplo, si usas datos sensibles para entrenar modelos), consulta Importa
datos a un almacén de datos seguro de
BigQuery
para obtener más información sobre los roles que puedes usar para permitir el acceso a los datos almacenados.
En la siguiente tabla, se describen las recomendaciones de roles. Aplica las recomendaciones básicas y las recomendaciones específicas para casos de uso según corresponda.
| Servicio |
Grupo |
Descripción |
Funciones de IAM |
Básica |
grp-gcp-org-admin
|
Este grupo administra los recursos que pertenecen a la organización.
Asigna este rol con moderación. Los administradores de la organización tienen acceso a todos tus
Cloud de Confiance recursos. Como alternativa, debido a que esta función tiene muchos
privilegios, considera usar cuentas individuales en lugar de crear un
grupo. |
- Administrador de la organización (
roles/resourcemanager.organizationAdmin)
- Administrador de carpetas (
roles/resourcemanager.folderAdmin)
- Creador de proyectos (
roles/resourcemanager.projectCreator)
- Usuario de cuentas de facturación (
roles/billing.user)
- Administrador de roles de la organización (
roles/iam.organizationRoleAdmin)
- Administrador de políticas de la organización (
roles/orgpolicy.policyAdmin)
- Administrador del centro de seguridad (
roles/securitycenter.admin)
- Administrador de cuentas de asistencia (
roles/cloudsupport.admin)
|
Básica |
grp-gcp-network-admins
|
Este grupo puede crear redes, subredes, reglas de firewall y dispositivos de red
como Cloud Router, Cloud VPN y balanceadores de cargas en la nube. |
- Administrador de red de Compute (
roles/compute.networkAdmin)
- Administrador de VPC compartida de Compute (
roles/compute.xpnAdmin)
- Administrador de seguridad de Compute (
roles/compute.securityAdmin)
- Visualizador de carpetas (
roles/resourcemanager.folderViewer)
|
Básica |
grp-gcp-billing-admin
|
Este grupo configura las cuentas de facturación y supervisa su uso. |
- Administrador de cuentas de facturación (
roles/billing.admin)
- Creador de cuentas de facturación (
roles/billing.creator)
- Visualizador de la organización (
roles/resourcemanager.organizationViewer)
|
Básica |
grp-gcp-security-admins
|
Este grupo establece y administra políticas de seguridad para toda la
organización, incluidas la administración de accesos y las políticas de restricciones de la organización.
Para planificar tu Cloud de Confiance infraestructura de seguridad, consulta el plano de bases
empresariales. |
- Visualizador de datos de BigQuery (
roles/bigquery.dataViewer)
- Visualizador de Compute (
roles/compute.viewer)
- Administrador de IAM de carpetas (
roles/resourcemanager.folderIamAdmin)
- Visualizador de Kubernetes Engine (
roles/container.viewer)
- Escritor de configuración de registros (
roles/logging.configWriter)
- Visualizador de roles de la organización (
roles/iam.organizationRoleViewer)
- Administrador de políticas de la organización (
roles/orgpolicy.policyAdmin)
- Visualizador de políticas de la organización (
roles/orgpolicy.policyViewer)
- Visualizador de registros privados (
roles/logging.privateLogViewer)
- Administrador del centro de seguridad (
roles/securitycenter.admin)
- Revisor de seguridad (
roles/iam.securityReviewer)
|
Básica |
grp-gcp-billing-viewer
|
Este grupo supervisa la inversión en proyectos. Por lo general, los miembros del grupo forman parte del equipo de finanzas. |
- Visualizador de cuentas de facturación (
roles/billing.viewer)
|
Básica |
grp-gcp-platform-viewer
|
Este grupo revisa la información de recursos en toda la Cloud de Confiance
organización. |
- Visualizador (
roles/viewer)
|
Básica |
grp-gcp-security-reviewer
|
Este grupo revisa la seguridad de la nube. |
- Revisor de seguridad (
roles/iam.securityReviewer)
|
Básica |
grp-gcp-network-viewer
|
Este grupo revisa las configuraciones de red. |
- Visualizador de la red de Compute (
roles/compute.networkViewer)
|
Básica |
grp-gcp-audit-viewer
|
Este grupo visualiza los registros de auditoría. |
- Visualizador de registros privados (
roles/logging.privateLogViewer)
- Visualizador (
roles/viewer)
|
Básica |
grp-gcp-scc-admin
|
Este grupo administra Security Command Center. |
- Administrador del centro de seguridad (
roles/securitycenter.admin)
|
Básica |
grp-gcp-secrets-admin
|
Este grupo administra secretos en Secret Manager. |
- Administrador de Secret Manager (
roles/secretmanager.admin)
|
Administradores de Agent Platform |
grp-gcp-vertex-ai-admin
|
Este grupo tiene acceso completo a todos los recursos de
Agent Platform. |
- Administrador de Vertex AI (
roles/aiplatform.admin)
|
Visualizadores de Agent Platform |
grp-gcp-vertex-ai-viewer
|
Este grupo visualiza todos los recursos de
Agent Platform. |
- Visualizador de Vertex AI (
roles/aiplatform.viewer)
|
Usuarios de Agent Platform |
grp-gcp-vertex-ai-user
|
Este grupo usa todos los recursos de
Agent Platform. |
- Usuario de Vertex AI (
roles/aiplatform.user)
|
Administradores de Agent Platform Workbench |
grp-gcp-vertex-ai-notebook-admin
|
Este grupo tiene acceso completo a todas las plantillas de entorno de ejecución y los entornos de ejecución de
Agent Platform Workbench. |
- Administrador del entorno de ejecución del notebook (
roles/aiplatform.notebookRuntimeAdmin)
|
Usuarios de Agent Platform Workbench |
grp-gcp-vertex-ai-notebook-user
|
Este grupo crea recursos de entorno de ejecución mediante una plantilla de entorno de ejecución y administra
los que hayan creado. |
- Usuario del entorno de ejecución del notebook (
roles/aiplatform.notebookRuntimeUser)
|
¿Qué sigue?
Salvo que se indique lo contrario, el contenido de esta página está sujeto a la licencia Atribución 4.0 de Creative Commons, y los ejemplos de código están sujetos a la licencia Apache 2.0. Para obtener más información, consulta las políticas del sitio de Google Developers. Java es una marca registrada de Oracle o sus afiliados.
Última actualización: 2026-06-30 (UTC)
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Falta la información que necesito","missingTheInformationINeed","thumb-down"],["Muy complicado o demasiados pasos","tooComplicatedTooManySteps","thumb-down"],["Desactualizado","outOfDate","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Problema con las muestras o los códigos","samplesCodeIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2026-06-30 (UTC)"],[],[]]